Henkilötietojen käsittelysopimus
EU:n yleisen tietosuoja-asetuksen (679/2016) 12 ja 13 artiklan (General Data Protection Regulation, GDPR) myötä kirjalliset sopimukset henkilötietojen käsittelystä rekisterinpitäjän ja käsittelijän (data processor) välille tulevat pakolliseksi. Sopimuksen minimisisältö on määritelty asetuksessa.
Osapuolet sitoutuvat täyttämään tietyn laatu- ja suojaustason henkilötietojen käsittelijänä. Ilman kirjallista sopimusta henkilötietojen käsittely on tietosuoja-asetuksen vastaista.
Rekisterin ylläpitäjä / (Palvelun omistaja)
Yritys
Nimi:
Osoite:
Y-tunnus:
Yhteyshenkilö
Nimi:
GSM:
E-mail:
Henkilörekisterin käsittelijä / (Toimittaja)
Yritys
Nimi: Web-veistämö Oy
Osoite: Kuortaneenkatu 2
Y-tunnus: 2349368-8
Yhteyshenkilö
Nimi: Erno Iipponen
GSM: +358452398050
E-mail: gdpr@web-veistamo.fi
Sopimuksen oikeudet ja velvollisuudet
Asiakkaan yksityiskohtaisemmat oikeudet ja velvollisuudet Rekisterinpitäjänä
- Käsittelee Henkilötietoja Tietosuojalainsäädännön mukaisesti.
- Antaa Toimittajalle kirjalliset ohjeet Henkilötietojen käsittelyä varten.
- Vastaa siitä, että rekisteröidyille toimitetaan kaikki lainsäädännön edellyttämät henkilötietojen käsittelyä koskevat ilmoitukset ja tiedot.
- Vakuuttaa, että jos se edustaa tässä sopimuksessa itsensä lisäksi konserniyhtiöitään tai kolmansia osapuolia, sillä on oikeus sitoutua tähän sopimukseen ja antaa palveluntarjoajalle oikeus käsitellä henkilötietoja tämän sopimuksen ja toimeksiantosopimuksen mukaisesti.
- Vahvistaa, että se on antanut palveluntarjoajalle kaikki tarvittavat tiedot, jotta palveluntarjoaja voi täyttää tässä sopimuksessa ja toimeksiantosopimuksessa sille asetetut velvoitteet tietosuojalainsäädännön vaatimusten mukaisesti.
- Säilyttää määräysvallan ja kaikki oikeudet Henkilötietoihin, mukaan lukien oikeudet Henkilötietojen käsittelystä syntyviin tietoihin.
Toimittajan yksityiskohtaisemmat oikeudet ja velvollisuudet Rekisterin käsittelijänä
- Toimittaja Käsittelee Henkilötietoja ammattitaitoisesti, huolellisesti ja Tietosuojalainsäädännön mukaisesti ja ainoastaan toimeksiantosopimuksessa ja tässä sopimuksessa määriteltyihin tarkoituksiin, vain siinä laajuudessa kuin on tarpeen asiakkaan toimeksiannosta tapahtuvaa palvelua varten.
- Toimittajalla ei ole oikeutta käyttää saamiaan henkilötietoja omassa toiminnassaan, luovuttaa niitä, käsitellä niitä, eikä yhdistää tietoja muuhun hallussaan olevaan aineistoon muutoin kuin toimeksiantosopimuksen tarkoittamassa laajuudessa ja sen mukaista tehtävää hoitaessaan.
- Varmistaa, että henkilötietoja käsittelevät vain ne henkilöt, joiden työtehtävien hoitaminen sitä edellyttää, ja että kyseiset henkilöt ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä sitoo asianmukainen lakisääteinen salassapitovelvollisuus.
Sopimuksen voimassaolo
Toimittaja sitoutuu Asiakkaan kirjallisesta vaatimuksesta ja ilman aiheetonta viivytystä palauttamaan kaikki Henkilötiedot Asiakkaalle tai Asiakkaan nimeämällä kolmannelle osapuolelle.
Sopimuksen päätyttyä toimittaja tuhoaa kaikki henkilörekisterit normaalin prosessin mukaisesti ellei Asiakas erikseen pyydä manuaalista tietojen poistoa.
Henkilörekisteri
Henkilötietojen tyyppi ja rekisteröityjen ryhmät
Vierailevat käyttäjät
Käyttäjän IP-osoite sekä perustietoja, esim teknisiä laitteistosta, jolla käyttäjä vierailee palvelussa.
Rekisteröityneet / tunnistettavat käyttäjät
Rekisteri voi sisältää seuraavan kaltaisia tietoja käyttäjistä
- Nimi
- Sähköpostiosoite
- Puhelinnumero
- Organisaatio
- Kieli
- Käyttäjätaso (esim asiakas, työntekijä, ylläpitäjä)
- Palvelun käyttötiedot (viestit, tilaustiedot, hankinnat, )
Muita rekisterissä mahdollisesti mainittuja tietoja käyttäjistä; yhteystiedot, syntymäaika
työsuhteeseen liittyvät tiedot, kuten työsuhteen alkamista koskevat tiedot
Henkilötietojen käsittelyn kohde ja kesto
Henkilötietoja käsitellään niin pitkään kuin palveluita toimitetaan toimeksiantosopimuksen mukaisesti tai lainsäädäntö edellyttää tietojen säilyttämistä. Henkiötietoja käsitellään vain ja ainoastaan tämän sopimuksen voimassaolon puitteissa.
Näihin toimenpiteisiin kuuluu mm. tietomassan kerääminen, tallentaminen, järjestäminen, jäsentäminen, säilyttäminen, muokkaaminen, muuttaminen, haku, kysely, käyttö, saataville asettaminen, yhteensovittaminen tai yhdistäminen, rajoittaminen, poistaminen ja tuhoaminen
Henkilötietojen käsittelyn luonne ja tarkoitus
Toimittaja Käsittelee Henkilötietoja ainoastaan palvelun ylläpitämiseen ja sen palvelulupauksen toteuttamiseksi, sekä asiakkaan erillisten kirjallisten ohjeiden mukaan.
Tietoturva
Palvelun tietoturvaa valvotaan, arvioidaan ja päivitetään säännöllisesti Henkilörekisterin suojaamiseksi.
Toimittaja implementoi asianmukaiset ja riittävät tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi ja asianmukaisen ja riittävän turvallisuustason varmistamiseksi siten, että henkilötietojen käsittely vastaa tietosuojalainsäädännön asettamia vaatimuksia.
Varmuuskopiointi
Palvelun ja henkilörekisterin tietoja ja osakokonaisuuksia varmuuskopioidaan säännöllisesti eri ympäristöihin, jotta tietojen säilyvyys voidaan taata riittävän turvallisella tasolla. Tietoja ei siirretä EU-alueen ulkopuolelle.
Tietoturvaloukkaukset
Toimittaja ilmoittaa Asiakkaalle välittömästi ja viimeistään 48 tunnin kuluessa sen tietoon tulleesta tietoturvaloukkauksesta sopijapuolen ilmoittamalle yhteyshenkilölle.
Toimittajan on tietoturvaloukkauksen ilmoittamisen yhteydessä tai välittömästi ilmoittamisen jälkeen toimitettava Asiakkaalle:
- Kuvaus tietoturvaloukkauksesta, mukaan lukien asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät
- Kuvaus tietoturvaloukkauksen todennäköisistä seurauksista.
- Lista toimenpiteistä, jotka toimittaja on toteuttanut tietoturvaloukkauksen johdosta ja toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
- Toimittajan tietosuojavastaavan tai muun henkilön yhteystiedot, jolta voi saada asiasta lisätietoja
Toimittajan on ryhdyttävä toimenpiteisiin tietoturvaloukkauksen haittavaikutusten ehkäisemiseksi tai lieventämiseksi.
Auditointi
Asiakkaalla tai asiakkaan nimeämällä riippumattomalla asiantuntijalla, joka ei voi olla toimittajan kilpailija, on oikeus tarkastaa koska tahansa sopimuksen voimassaoloaikana, että toimittaja noudattaa tässä liitteessä toimittajalle osoitettuja velvoitteita. Asiakas vastaa siitä, että sen nimeämä riippumaton asiantuntija allekirjoittaa salassapitositoumuksen toimittajan hyväksi. Asiakas ilmoittaa tarkastuksen toteuttamisesta 14 päivää etukäteen.
Tarkastus on suoritettava siten, ettei toimittajan muiden asiakkaiden tietoturva tai heidän tietojensa luottamuksellisuus vaarannu ja siten, ettei auditointi olennaisesti haittaa tai selvästi vaaranna toimittajan normaalia liiketoimintaa. Toimittajan tulee korjata tarkastuksessa havaitut puutteet viipymättä, kuitenkin viimeistään 30 vuorokauden kuluessa asiakkaan kirjallisesta ilmoituksesta, ellei asiasta ole toisin nimenomaisesti sovittu.
Korvausvelvollisuus ja vastuunrajoitukset
Sopimukseen perustuva sopijapuolen vahingonkorvausvelvollisuus toiselle sopijapuolelle on enintään 20 prosenttia toimituksen kohteen arvonlisäverottomasta kokonaishinnasta.
Palveluntarjoaja ja asiakas vastaa vain huolimattomuudestaan johtuvista välittömistä vahingoista.
Kaikissa tapauksissa kumpikin osapuoli vastaa itse valvontaviranomaisen tai toimivaltaisen tuomioistuimen sille määräämistä hallinnollisista sanktioista, jotka ovat ko. valvontaviranomaisen tai tuomioistuimen päätöksen mukaisesti seurausta siitä, että kyseinen osapuoli ei ole noudattanut sille tietosuojalainsäädännössä asetettuja vaatimuksia tai velvoitteita.
Alihankinta
Toimittajalla ja asiakkaalla on oikeus käyttää alihankintaa palvelun toteuttamisessa. Toimittaja listaa pyynnöstä alihankintaketjunsa osapuolelle.
Osapuoli valvoo säännöllisesti alihankkijansa toimintaa varmistaakseen, että alihankkija noudattaa sille asetettuja velvollisuuksia Henkilötietojen käsittelyssä. Osapuolet huolehtivat tämän sen ja alihankkijan välisessä sopimuksessa
Hinnat
Henkilötietojen normaalia käsittelyä ei ole hinnoiteltu kiinteästi erikseen. Rekisterin käsittelystä esim auditoinnin, muutospyyntöjen ja muiden hallinnollisten muutosten osalta laskutetaan toteutuneet kustannukset asiakassuhteen voimassaolevan hinnastoon perustuen.
Palveluntarjoajalla on oikeus laskuttaa yllä kuvatuista avustamis-, korjaamis- ja pyyntöihin vastaamistoimista, auditoinnin tuesta sekä asiakkaan ohjeistuksen muutoksista johtuvista toimista ja kustannuksistaan erikseen.
Määritelmät
”Henkilötiedolla” tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön (jäljempänä ”rekisteröity”) liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen tai sosiaalisen tekijän perusteella.
”Käsittely” tarkoittaa toimintoa tai toimintoja, joita kohdistetaan Henkilötietoihin tai Henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista;
”Tietosuoja-asetus” tarkoittaa Euroopan unionin yleistä tietosuoja-asetusta 2016/679, jonka soveltaminen alkaa 25.5.2018; ”Tietosuojalainsäädäntö” tarkoittaa voimassa olevaa henkilötietolakia (523/1999) 25.5.2018 saakka ja Tietosuoja-asetusta 25.5.2018 alkaen sekä muuta Henkilötietojen Käsittelyyn kulloinkin sovellettavaa lakia;
”Tietoturvaloukkaus” tarkoittaa tapahtumaa, jonka seurauksena on Käsiteltyjen Henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai pääsy tietoihin tai tapahtumaa, jossa Henkilötietojen tietoturva on vaarantunut.